表示名をここに入力する 説明をここに入力する WinRM によるリモート サーバー管理を許可する 基本認証を許可する このポリシー設定を使用して、Windows リモート管理 (WinRM) クライアントで基本認証を使用するかどうかを管理できます。 このポリシー設定を有効にすると、WinRM クライアントで基本認証が使用されます。WinRM が HTTP トランスポートを使用するように構成されている場合は、ユーザー名とパスワードがクリア テキストとしてネットワーク経由で送信されます。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントで基本認証は使用されません。 このポリシー設定を使用して、Windows リモート管理 (WinRM) サービスでリモート クライアントからの基本認証を受け付けるかどうかを管理できます。 このポリシー設定を有効にすると、WinRM サービスはリモート クライアントからの基本認証を受け付けます。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM サービスはリモート クライアントからの基本認証を受け付けません。 暗号化されていないトラフィックを許可する このポリシー設定を使用して、Windows リモート管理 (WinRM) クライアントで、暗号化されていないメッセージをネットワーク経由で送受信するかどうかを管理できます。 このポリシー設定を有効にすると、WinRM クライアントは、暗号化されていないメッセージをネットワーク経由で送受信します。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントは、暗号化されたメッセージのみをネットワーク経由で送受信します。 このポリシー設定を使用して、Windows リモート管理 (WinRM) サービスで、暗号化されていないメッセージをネットワーク経由で送受信するかどうかを管理できます。 このポリシー設定を有効にすると、WinRM クライアントは、暗号化されていないメッセージをネットワーク経由で送受信します。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントは、暗号化されたメッセージのみをネットワーク経由で送受信します。 WinRM で RunAs 資格情報の保存を許可しない このポリシー設定を使用すると、Windows リモート管理 (WinRM) サービスでプラグインに対して RunAs 資格情報の保存を許可しないかどうかうかを管理できます。 このポリシー設定を有効にする場合、WinRM サービスではプラグインに対して RunAsUser または RunAsPassword の構成値の設定を許可しません。 既にプラグインで RunAsUser および RunAsPassword の構成値を設定している場合、このコンピューターの資格情報ストアから RunAsPassword の構成値が消去されます。 このポリシー設定を無効にする場合、または構成しない場合、WinRM サービスではプラグインに対して RunAsUser および RunAsPassword の構成値の設定を許可し、RunAsPassword 値が安全に保存されます。 このポリシー設定を有効にした後、無効にした場合、それまでに RunAsPassword に構成済みの値があれば、リセットする必要があります。 このポリシー設定を使用すると、HTTP トランスポートに対する要求が、Windows リモート管理 (WinRM) サービスによって、既定の HTTP ポートを介してネットワークで自動的にリッスンされるかどうかを管理できます。 このポリシー設定を有効にすると、そのネットワークでは、WinRM サービスによって、HTTP トランスポートに対する要求が既定の HTTP ポート経由で自動的にリッスンされます。 WinRM サービスがネットワーク経由で要求を受信できるようにするには、Windows ファイアウォール ポリシー設定で、ポート 5985 (HTTP の既定のポート) を例外として定義します。 このポリシー設定を無効にするか、または構成しない場合、WinRM サービスは、WinRM リスナーが構成されているかどうかにかかわらず、リモート コンピューターからの要求に対して応答しません。 WinRM サービスは、IPv4 フィルターおよび IPv6 フィルターで指定されたアドレスでリッスンします。IPv4 フィルターでは、IPv4 アドレスの範囲が 1 つ以上指定されます。IPv6 フィルターでは、IPv6 アドレスの範囲が 1 つ以上指定されます。フィルターが指定されている場合、WinRM サービスはコンピューターで使用可能な IP アドレスを列挙し、いずれかのフィルター範囲に属するアドレスのみを使用します。 WinRM サービスが、コンピューターで使用できるすべての IP アドレスでリッスンするように指定するには、アスタリスク (*) を使用します。* を使用した場合、フィルターのその他の範囲は無視されます。フィルターを空白にすると、WinRM サービスはどのアドレスでもリッスンしません。 たとえば、IPv4 アドレスでのみリッスンするように設定する場合は、IPv6 フィルターを空白にします。 範囲は、構文 IP1-IP2 を使用して指定します。複数の範囲は、"," (コンマ) を使用して区切ります。 IPv4 フィルターの例: \n2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22 IPv6 フィルターの例: \n3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562 ダイジェスト認証を許可しない このポリシー設定を使用して、Windows リモート管理 (WinRM) クライアントでダイジェスト認証を使用するかどうかを管理できます。 このポリシー設定を有効にすると、WinRM クライアントでダイジェスト認証は使用されません。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントでダイジェスト認証が使用されます。 ネゴシエート認証を許可しない Kerberos 認証を許可しない このポリシー設定を使用して、Windows リモート管理 (WinRM) クライアントでネゴシエート認証を使用するかどうかを管理できます。 このポリシー設定を有効にすると、WinRM クライアントでネゴシエート認証は使用されません。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントでネゴシエート認証が使用されます。 このポリシー設定を使用して、Windows リモート管理 (WinRM) サービスでリモート クライアントからのネゴシエート認証を受け付けるかどうかを管理できます。 このポリシー設定を有効にすると、WinRM サービスはリモート クライアントからのネゴシエート認証を受け付けません。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM サービスは、リモート クライアントからのネゴシエート認証を受け付けます。 このポリシー設定を使用すると、Windows リモート管理 (WinRM) クライアントで Kerberos 認証を直接使用するかどうかを管理できます。 このポリシー設定を有効にすると、Windows リモート管理 (WinRM) クライアントでは Kerberos 認証は直接使用されません。ただし、WinRM クライアントでネゴシエート認証が使用されており、Kerberos が選択されている場合は、Kerberos が使用される場合があります。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントでは Kerberos 認証が直接使用されます。 このポリシー設定を使用すると、Windows リモート管理 (WinRM) サービスで、Kerberos 資格情報をネットワーク経由で受け付けないようにするかどうかを管理できます。 このポリシー設定を有効にすると、WinRM サービスは、ネットワーク経由で Kerberos 資格情報を受け付けません。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM サービスは、リモート クライアントからの Kerberos 認証を受け付けます。 CredSSP 認証を許可する このポリシー設定を使用して、Windows リモート管理 (WinRM) クライアントで CredSSP 認証を使用するかどうかを管理できます。 このポリシー設定を有効にすると、WinRM クライアントで CredSSP 認証が使用されます。 このポリシー設定を無効にした場合、または構成しなかった場合は、WinRM クライアントで CredSSP 認証は使用されません。 このポリシー設定を使用して、Windows リモート管理 (WinRM) サービスでリモート クライアントからの CredSSP 認証を受け付けるかどうかを管理できます。 このポリシー設定を有効にすると、WinRM サービスはリモート クライアントからの CredSSP 認証を受け付けます。 このポリシー設定を無効にするか、または構成しない場合は、WinRM サービスはリモート クライアントからの CredSSP 認証を受け付けません。 チャネル バインディング トークン強化機能レベルを指定する このポリシー設定を使用すると、チャネル バインディング トークンに関する Windows リモート管理 (WinRM) サービスの強化機能レベルを設定できます。 このポリシー設定を有効にすると、WinRM サービスは、強化機能レベルで指定されているレベルを使用し、指定されているチャネル バインディング トークンに基づいて、受信した要求を受け付けるかどうかを決定します。 このポリシー設定を無効にするか、または構成しない場合、コンピューターごとにローカルに強化機能レベルを構成できます。 強化機能レベルを [厳密] に設定すると、有効なチャネル バインディング トークンが含まれていない要求はすべて拒否されます。 強化機能レベルを [緩和] (既定値) に設定すると、無効なチャネル バインディング トークンが含まれる要求はすべて拒否されます。ただし、チャネル バインディング トークンが含まれていない要求は受け付けられます (資格情報転送攻撃からは保護されなくなります)。 強化機能レベルを [なし] に設定すると、すべての要求が受け付けられます (ただし、資格情報転送攻撃からは保護されなくなります)。 なし 厳密 緩和 Windows リモート管理 (WinRM) WinRM クライアント WinRM サービス 信頼されたホスト このポリシー設定を使用すると、Windows リモート管理 (WinRM) クライアントで、TrustedHostsList に指定されている一覧を使用して、接続先ホストが信頼されたエンティティであるか判断させるかどうかを管理できます。 このポリシー設定を有効にすると、WinRM クライアントでは、TrustedHostsList に指定されている一覧を使用して、接続先ホストが信頼されたエンティティかどうかを判断します。ホストの ID の認証に HTTPS と Kerberos のいずれも使用されない場合、WinRM クライアントではこの一覧が使用されます。 このポリシー設定を無効にした場合、または構成しなかった場合で、WinRM クライアントで信頼されたホストの一覧を使用する必要があるときは、信頼されたホストの一覧を各コンピューターでローカルに構成する必要があります。 互換性の HTTP リスナーを有効にする 互換性の HTTPS リスナーを有効にする このポリシー設定は、Windows リモート管理 (WinRM) サービスで下位互換性のために作成された HTTP リスナーを有効または無効にします。 このポリシー設定を有効にした場合、HTTP リスナーが常に表示されます。 このポリシー設定を無効にした場合、または構成しなかった場合、HTTP リスナーは表示されません。 ポート 80 の特定のリスナーを WinRM 2.0 に移行すると、リスナー ポート番号は 5985 に変わります。 下位互換性を確保するため、リスナーはポート 80 で自動的に作成されます。 このポリシー設定は、Windows リモート管理 (WinRM) サービスで下位互換性のために作成された HTTPS リスナーを有効または無効にします。 このポリシー設定を有効にした場合、HTTPS リスナーが常に表示されます。 このポリシー設定を無効にした場合、または構成しなかった場合、HTTPS リスナーは表示されません。 ポート 443 の特定のリスナーを WinRM 2.0 に移行すると、リスナー ポート番号は 5986 に変わります。 下位互換性を確保するため、リスナーはポート 443 で自動的に作成されます。 IPv4 フィルター: IPv6 フィルター: 構文: どの IP アドレスからのメッセージも許可する場合は、「*」と入力します。 どの IP アドレスでもリッスンしない場合は、このフィールドを空白のままにします。IP アドレスの範囲を 1 つ以上指定できます。 IPv4 フィルターの例: 2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22 * IPv6 フィルターの例: 3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562 * TrustedHostsList: 構文: ホスト名のコンマ区切りの一覧を使用して、 信頼されたホストを構成します。ワイルドカード (*) も使用できますが、 ホスト名パターンに使用できるのは 1 つだけです。 ピリオド (.) を含まないすべてのホスト名を指定するには、 "<local>" (大文字と小文字を区別する) を使用します。 この一覧に何も指定しない場合は、どのホストも信頼しないことになります。 すべてのホストを信頼する場合は、アスタリスク (*) を使用します。 * を使用する場合、その他のパターンを一覧に含めることはできません。 例: *.mydomain.com は、mydomain.com に属するすべてのコンピューターが信頼されることを示します。 2.0.* は 2.0 で始まるすべての IP アドレスが信頼されることを示します。 強化機能レベル: